フィアット・クライスラー、車両のセキュリティ欠陥を見つけたハッカーに最大1,500ドルを支払う

フィアット・クライスラー、ソフトウェアを悪用できるハッカーに最大1,500ドルを提供

フィアット・クライスラー・オートモービルズ（FCA）は、車両ソフトウェアの脆弱性やセキュリティバグを見つけたハッカーに現金を提供する企業のリストに加わります。バグバウンティプログラムの報酬は、ホワイトハットハッカーや研究者が自動車メーカーのジープ、ラムトラック、その他のモデルのいずれかで発見したセキュリティ欠陥に応じて、150ドルから1,500ドルの間になります。

「再現可能で正当な脆弱性の発見に対して正式な認識と報酬を提供することを約束します。責任を持って開示される限り」と同社は述べています。「バグバウンティプロジェクトの目標は、研究者との協力関係を育み、FCAの車両および接続サービスの脆弱性の責任ある開示に参加してもらうことです。」

FCAは、Bugcrowdプラットフォームでバウンティを提供します。このプラットフォームが支払いを管理します。Bugcrowdは約30,000人のセキュリティ研究者がメンバーとしていると述べています。

「自分の車やITシステムをいじるのが好きな人がたくさんいます」とフィアット・クライスラーのシニアセキュリティマネージャー、ティタス・メルニクは言いました。「私たちは、独立したセキュリティ研究者が私たちに連絡し、彼らが見つけたことを共有することを奨励したいと思っています。」

自動車メーカーは、研究者に発見した脆弱性の完全な詳細を提供するよう求めており、概念実証コードや詳細を含める必要があります。Uconnect iOS、Uconnect Android、ecoDrive onAndroid、iPhoneおよびiPadのecoDriveがすべてのターゲットです。さらに、自動車メーカーは、driveconnect.euおよびecodrive.driveconnect.euのウェブドメイン内で見つかったセキュリティ問題にも関心を持っています。

研究者は、リモートコード実行（RCE）欠陥や認証されたページでのクロスサイトスクリプティングバグなどの問題に対してFCAから報酬を受け取りますが、クリックジャッキング、エラーメッセージ、Adobe Airインフラストラクチャに関連する脆弱性、公開ファイルおよびディレクトリ、証明書の強度の問題などのセキュリティ問題には報酬を発行しません。

これまでに合計4つのバグが解決され、報酬が支払われていますが、各セキュリティ問題の詳細は非公開のままです。

FCAは、完全な車両およびトラックのラインアップを持つ自動車メーカーとして、こうしたバウンティを提供するのは初めてであると述べていますが、電気自動車メーカーのテスラ・モーターズも同様の提案をしています。

自動車メーカーは、特定された潜在的な脆弱性の性質や影響を受けるユーザーの範囲に応じて、他者の利益のために発見を公開する可能性があると述べています。

FCAの目標はシンプルで、車両に脆弱性を見つけ、コストのかかるリコールを引き起こし、ブランドのイメージを損なう前に対処することです。昨年、同社は140万台の車両をリコールし、ジープ・チェロキーのエンターテインメントシステムにハッキングした2人のセキュリティ研究者が車両をリモートで制御した後、ソフトウェアを更新する必要がありました。

この高プロファイルのデモンストレーションは、フィアット・クライスラーにとって恥ずかしい事件であるだけでなく、自動車業界全体がシステムのセキュリティを確保するために慌てるきっかけとなりました。

「私たちの消費者とその車両の安全とセキュリティは最優先事項です」とFCA US LLCのサイバーセキュリティシステム責任者、サンドラ・ホスラーは述べています。「安全文化を基盤に、FCA USはエンジニアリング、安全、規制業務、接続車両の専門家からなるクロスファンクショナルチームを構築し、業界の幅広い専門家との協力と関与を通じて、設計によって私たちの車両や製品にセキュリティを組み込むことに専念しています。」

FCAだけが、車両をより安全にするためにハッカーを雇った企業ではありません。昨年、ウーバーはジープ・チェロキーにリモートでハッキングしたデュオを雇いました。

FCA USのバグバウンティプログラム（https://bugcrowd.com/fca）は、サイバーセキュリティの課題に対処するためにソフトウェアテストをクラウドソーシングします。Bugcrowdプログラムは、潜在的な製品セキュリティの脆弱性を見つけ、修正を実施し、安全性とセキュリティを向上させ、サイバーセキュリティコミュニティ内での透明性と協力の精神を高めるのに役立ちます。